Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

June, 2012

  • Maggiori dettagli sul Security Advisory 2719615

    Lo scorso martedì abbiamo rilasciato il Security Advisory 2719615 che fornisce suggerimenti su come mitigare una vulnerabilità dei MSXML Code Services che, se sfruttata, permette l'esecuzione di codice remoto. Insieme all'advisory, è stato rilasciato un Fix It che blocca l'attacco in Internet Explorer. I Fix It sono pacchetti che aiutano gli utenti a proteggersi da problemi prima che sia disponibile un regolare aggiornamento. Ecco qualche dettaglio in più sulla vulnerabilità e sul pacchetto Fix It.

    La vulnerabilità affligge Microsoft XML Core Services 3.0, 4.0, 5.0 e 6.0. Come detto, può essere sfruttata tramite una pagina web visitata con Internet Explorer, e permette l'esecuzione di codice arbitrario da remoto. Dato che la vulnerabilità, per essere sfruttata, richiede Active Scripting, i soliti workaround rimangono efficaci:

    • Impostare le aree di sicurezza Internet e Intranet Locale ad "Alto"
    • Inserire la lista dei siti consentiti nei Siti Attendibili

    Questi workaround, però, sono troppo invasivi e limitano l'esperienza dell'utente, ma, nello stesso tempo, sappiamo che questa vulnerabilità è utilizzata in attacchi mirati.

    Per offrire protezione e non limitare gli utenti, abbiamo creato un nuovo workaround sottoforma di un pacchetto Fix It, che gli utilizza l'application compatibility toolkit per effettuare un piccolo cambiamento, runtime, ai file alle librerie relative ai MSXML Core Services ogni volta che vengono caricate da Internet Explorer. Questo cambiamento permette di correggere la vulnerabilità in tempo reale.

    La tabella sottostante contiene i link per scaricare i pacchetti Fix It ed applicare il workaround. Per distribuire questi pacchetti in una rete aziendale, in questa pagina sono disponibili le istruzioni.

    Applicare il workaroundDisabilitare il workaround

    Questo workaround non interferirà con l'installazione dell'eventuale aggiornamento che andrà a correggere la vulnerabilità. L'unica controindicazione è che esso ridurrà leggermente il tempo d'avvio di Internet Explorer, quindi suggeriamo di disinstallarlo una volta che l'aggiornamento sarà disponibile.

    Un altro workaround che è possibile utilizzare è l'utilizzo di EMET, L'Enhanced Mitigation Toolkit (EMET) è uno strumento che aiuta a mitigare lo sfruttamento di vulnerabilità software che risultano nell'esecuzione di codice arbitrario.

    Maggiori dettagli tecnici sono disponibili in questo SRD blog.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Certificate Trust List e i bollettini di Giugno 2012

    Oggi vengono rilasciati sette aggiornamenti, tre Critici e quattro Importanti, che correggono 26 vulnerabilità che affliggono Microsoft Windows, Internet Explorer, Dynamics AX, Microsoft Lync e Microsoft .NET Framework. Oltre agli aggiornamenti è stato anche rilasciato un sistema per aggiornare automaticamente l'Untrusted Certificate Store in Windows Vista e Windows 7.

    Questa nuova feature permette automaticamente di contrassegnare certificati come non validi. Windows, infatti, controllerà giornaliermente la presenza di nuovi certificati da invalidare. Fino ad oggi, l'inserimento di certificati nell'Untrusted Certificate Store richiedeva un aggiornamento manuale. Questo nuovo meccanismo automatico, che si avvale di una lista di certificati non validi denominata Disallowed Certificate Trust List (CTL), è documentato nel Windows PKI Blog. Incoraggiamo gli utenti ad installare questa nuova feature il prima possibile.

    In aggiunta, ad Agosto rilasceremo un aggiornamento relativo a come Windows gestisce certificati che hanno chiavi RSA minori di 1024 bit. Quando questo aggiornamento verrà rilasciato, tutti i certificati con questa caratteristica verranno trattati come non validi, anche se non sono scaduti e sono firmati da una Certification Authority riconosciuta. Questo cambiamento viene annunciato oggi per permettere agli utenti di apportare i cambiamenti necessari. Anche in questo caso, maggiori informazioni sono disponibili nel Windows PKI Blog.

    Tornando agli aggiornamenti di oggi, i seguenti sono quelli che suggeriamo di prioritizzare, nel caso non fosse possibile installarli tutti:

    MS12-037 - Internet Explorer Questo aggiornamento risolve 13 vulnerabilità, che affliggono tutte le versioni supportate di Internet Explorer. Le vulnerabilità più gravi sono Critiche e, se sfruttate, permettono di eseguire codice arbitrario da remoto.

    MS12-036 - RDP Questo aggiornamento risolve una vulnerabilità Critica che affligge tutte le versioni supportate di Microsoft Windows, e anch'essa, se sfruttata, permette di eseguire codice da remoto.

    La seguente è la tabella completa riguardante la prioritizzazione degli aggiornamenti:

    Mentre la seguente è la tabella che rappresenta l'aggregato di rischio ed Exploitability Index:

    Maggiori informazioni sui bollettini sono disponibili nella pagina di Riepilogo dei bollettini Microsoft sulla sicurezza di giugno.

    In aggiunta ai bollettini, oggi viene anche rilasciato il Security Advisory 2719615. L'advisory documenta una vulnerabilità pubblica in MSXML Core Services, parte di Windows ed altri prodotti, che se sfruttata permette l'esecuzione di codice da remoto. La nostra analisi è ancora in corso, ma abbiamo già sviluppato un workaround che blocca eventuali attacchi che cercano di sfruttare questa vulnerabilità tramite Internet Explorer. L'advisory è infatti accompagnato da un pacchetto Fix It, facile da installare e senza la necessità di un riavvio, per gli utenti che dopo aver letto l'advisory, credono di essere a rischio.

    Come di consueto, domani, Mercoledì 13 Giugno 2012, alle 20:00 sarà tenuto un webcast con Jonathan Ness e Dustin Childs, in cui verranno descritti i bollettini e le altre novità di questo mese. Durante il webcast sarà possibile effettuare domande in tempo reale. Il link per registrarsi è il seguente: http://aka.ms/June2012Webcast.

    Gerardo Di Giacomo
    Security Program Manager - MSRC
     

  • Security Advisory 2718704: Dettagli sul Collision Attack e hardening di WU

    Oggi, come annunciato in precedenza, abbiamo cominciato il processo di hardening di Windows Update. Abbiamo anche preparato un SRD blog post con maggiori informazioni sugli attacchi hash collision contro MD5 usati dal malware Flame. L'SRD blog dovrebbe rispondere a tutte le domande relative al collision attack.

    Per attaccare i sistemi che utilizzano Windows Vista e versioni più recenti, un attacker avrebbe dovuto ottenere un certificato, ora invalido, del Terminal Server Licensing Service ed effettuare un sofisticato attacco MD5 hash collision. Su sistemi antecedenti a Vista, è possibile effettuare l'attacco senza hash collision. In entrambi i casi, ovviamente, un attacker deve far eseguire al sistema vittima il software firmato. Questo è possibile se la vittima riceve, tramite gli aggiornamenti automatici, il file firmato, dato che la firma utilizzata era considerata valida. Windows Update può essere impersonificato solo con un certificato non autorizzato in combinazione con un attacco Man in the Middle. Per risolvere questo problema, stiamo prendendo provvedimenti per rendere più sicuro Windows Update.

    Quando accadono eventi come questo, per noi è importante prendere provvedimenti il più velocemente possibile, e proteggere gli utenti in maniera tempestiva. Questo è il motivo per il quale il nostro primo passo è stato quello di invalidare l'intera gerarchia di certificati appartenente al sistema di licenze di Terminal Server. Non ci siamo limitati a bloccare i certificati non autorizzati utilizzati da Flame, ma tutti quelli appartenenti a questa gerarchia. Abbiamo temporeggiato nel fornire maggiori informazioni sul  collision attack utilizzato per permettere agli utenti di installare l'aggiornamento pubblicato la scorsa domenica ed essere protetti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Security Advisory 2718704: Strategia di Difesa a Fasi

    Il nostro obiettivo in Microsoft è di fornire agli utenti un'esperienza affidabile e sicura con la tecnologia ed internet. Questo è sempre stato lo scopo del Trustworthy Computing, e l'obiettivo principale è quello di provvedere alla protezione degli utenti.

    Ieri abbiamo rilasciato il Security Advisory 2718704, documentando i passi da intraprenere per essere protetti da attacchi che utilizzano certificati non autorizzati. Questa è stata la prima di una serie di azioni in una strategia di difesa a fasi, dove come prima mossa abbiamo neutralizzato i certificati non autorizzati usati negli attacchi relativi al malware Flame e ad altri rischi che tali certificati possono causare. Dato che eliminare questi certificati è stata un'azione immediata e diretta, crediamo che questa sia stata la mossa più rapida ed efficace per proteggere gli utenti.

    Da ieri, stiamo lavorando al supporto degli utenti sulla prioritizzazione dell'aggiornamento discusso nell'Advisory. Alcuni hanno chiesto entro quando l’aggiornamento debba essere installato. La nostra raccomandazione è, come per gli aggiornamenti di sicurezza, di installarlo il prima possibile, per un semplice motivo: il fatto che un malware può essere creato ed essere distribuito come se fosse un prodotto Microsoft. Rimuovere il trust a questi certificati non autorizzati è il primo passo per essere certi che questi non vengano utilizzati per attaccare sistemi Windows.

    Chi ha creato Flame, ha utilizzato un collision attack, in combinazione con i certificati del Terminal Server Licensing Service, per firmare codice. C'è da dire, comunque, che questi certificati danno la possibilità di firmare codice senza effettuare nessun attacco crittografico, e questa è una possibilità che può suscitare interesse per eventuali ulteriori attacker. In ogni caso, Windows Update può essere impersonificato utilizzando un certificato non autorizzato, in combinazione con un attacco man-in-the-middle.

    Per offrire maggiore protezione per gli utenti, il nostro prossimo passo è quello di rafforzare ulteriormente Windows Update. Cominceremo questo processo di hardening dopo aver verificato che l'aggiornamento relativo al Security Advisory 2718704 abbia raggiunto un adeguato numero di utenti, per non inteferire con la sua diffusione. Forniremo a breve maggiori informazioni su cosa verrà migliorato in Windows Update.

    Il rischio è sotto continuo monitoraggio e l’analisi della situazione è continua. Forniremo aggiornamenti tempestivi appena ci saranno ulteriori sviluppi.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il Security Advisory 2718704

    Siamo venuti a conoscenza del malware "Flame" e abbiamo immediatamente cominciato le analisi di questo malware. Come riportato in diversi articoli, Flame è stato usato in attacchi mirati ed altamente sofisticati e, di conseguenza, la maggior parte degli utenti non sono a rischio. Inoltre, la maggioranza dei software antivirus forniscono protezioni capaci di identificare e rimuovere il malware. Detto ciò, la nostra analisi ha evidenziato alcune tecniche usate da questo malware che possono essere sfruttate anche in attacchi più ampi e meno sofisticati. Per proteggere gli utenti abbiamo deciso di condividere le nostre analisi e prendere provvedimenti per mitigare il rischio.

    Abbiamo scoperto che alcuni componenti di Flame sono firmati da certificati che permettono al malware di essere identificato come se fosse rilasciato da Microsoft. Abbiamo rilevato che un algoritmo di crittografia debole può essere utilizzato per generare certificati per firmare eseguibili. Nello specifico, il Terminal Server Licensing Service, che permette gli utenti di autorizzare servizi Remote Desktop, usava certificati con questo algoritmo.

    Per mitigare questo rischio abbiamo deciso di prendere i seguenti provvedimenti:

    • Abbiamo rilasciato un Security Advisory che documenta come gli utenti possono bloccare software firmato da questi certificati non autorizzati.
    • Abbiamo rilasciato un aggiornamento che protegge automaticamente gli utenti.
    • Il Terminal Server Licensing Server non produce più certificati che permettono code signing.

    Questi provvedimenti fanno sì che i componenti del malware che utilizzano questo metodo non appaiano firmati da Microsoft. Stiamo attivamente continuando l'analisi e, in caso, prenderemo ulteriori provvedimenti per proteggere gli utenti.

    Per maggiori informazioni tecniche, fare riferimento a questo SRD blog.

    Rimango a disposizione per ulteriori domande o chiarimenti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC